La prueba de penetración PCI DSS es uno de los trámites más onerosos en términos de coste y preparación: una prueba sobre un CDE de complejidad media puede costar entre 5.000 y 20.000 euros, debe realizarse al menos una vez al año y debe ser llevada a cabo por un sujeto cualificado e independiente. Para un comerciante o una pyme que quiere controlar los costes de conformidad, reducir el perímetro sujeto a prueba de penetración es una prioridad estratégica.
Cuándo es obligatoria la prueba de penetración PCI DSS y con qué frecuencia
El Requisito 11.4 del PCI DSS v4.0 exige que los comerciantes realicen una prueba de penetración al menos una vez cada 12 meses y tras cualquier modificación significativa de la infraestructura o de las aplicaciones en el perímetro CDE. "Modificación significativa" incluye la incorporación de nuevos sistemas, cambios en la topología de red, actualizaciones importantes de las aplicaciones de pago y modificaciones en los controles de acceso.
La prueba de penetración PCI DSS debe cubrir tanto el nivel de red (prueba de penetración de red) como el nivel aplicativo (prueba de penetración de aplicaciones), incluidas las interfaces web y las API expuestas. El evaluador debe simular ataques tanto desde el exterior (prueba externa) como desde el interior de la red (prueba interna). Los resultados deben estar documentados, las vulnerabilidades identificadas deben ser resueltas y la remediación debe verificarse con una nueva prueba.
Prueba de penetración frente a escaneo de vulnerabilidades: no son lo mismo
Un error habitual es confundir la prueba de penetración con el escaneo de vulnerabilidades. El escaneo de vulnerabilidades es un proceso automatizado que identifica vulnerabilidades conocidas comparándolas con bases de datos de CVE: proporciona una lista de posibles problemas pero no verifica si son realmente explotables. El PCI DSS exige un escaneo de vulnerabilidades trimestral realizado por un ASV (Approved Scanning Vendor) certificado.
La prueba de penetración es, en cambio, una actividad manual llevada a cabo por un experto en seguridad que intenta activamente explotar las vulnerabilidades identificadas. Verifica no solo si existe una vulnerabilidad, sino si puede utilizarse para acceder a los datos de tarjeta o moverse lateralmente por la red. Ambas herramientas son complementarias, no intercambiables, y el PCI DSS exige las dos con frecuencias diferentes.
Menos CDE, menos costes de prueba de penetración
El coste de una prueba de penetración es directamente proporcional al tamaño y la complejidad del perímetro a testear. Cada sistema en el CDE debe incluirse en el alcance de la prueba: cuantos más sistemas haya, más horas de trabajo se necesitan, más alto es el coste. Un CDE que comprende 10 servidores, 3 bases de datos, 2 aplicaciones web y una red segmentada costará muchas veces más de testear que un CDE mínimo.
La tokenización reduce el CDE y, en consecuencia, el perímetro de la prueba de penetración. Si sus servidores nunca procesan PAN, no tienen que incluirse en la prueba de penetración PCI DSS: la prueba se centra únicamente en los componentes que gestionan tokens y en las interfaces de comunicación con el vault de PCI Proxy EU, que ya está certificado Level 1. El ahorro anual exclusivamente en la prueba de penetración puede superar el coste de la solución de tokenización.
Preguntas frecuentes
¿Puedo usar el mismo informe de prueba de penetración para PCI y otros frameworks?
En parte. La prueba de penetración PCI DSS tiene requisitos específicos de alcance, metodología y documentación que deben ser abordados explícitamente en el informe. Algunos frameworks (como ISO 27001 o SOC 2) aceptan informes de prueba de penetración compartidos si cubren las mismas áreas, pero el informe debe personalizarse para los requisitos PCI e incluir la verificación de la segmentación de red, que es un elemento específico de PCI.
¿El proveedor cloud realiza la prueba de penetración por mí?
No. El proveedor cloud (AWS, Azure, GCP) es responsable de la seguridad de la infraestructura física y de la plataforma cloud (modelo de responsabilidad compartida), no de los sistemas y aplicaciones que el comerciante despliega en esa plataforma. La prueba de penetración PCI DSS debe cubrir los sistemas y aplicaciones del comerciante, aunque se ejecuten en la nube. Muchos proveedores exigen una notificación previa antes de realizar pruebas de penetración en su plataforma.
¿La tokenización elimina la prueba de penetración?
No la elimina, pero la reduce significativamente. Con un CDE mínimo, la prueba de penetración se centra en las interfaces API con el vault y en los controles de acceso residuales. El vault de PCI Proxy EU ya está certificado PCI DSS Level 1 y se somete a pruebas de penetración de forma autónoma: no necesita incluir la infraestructura del vault en su alcance de prueba.
¿Quiere reducir el perímetro de la prueba de penetración y los costes de conformidad asociados? Descubra PCI Proxy EU.